Непонятные дропы пакетов и загруз сети

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-03-21 12:37:01

Схема подключения следующая - стоит Dlink DES-1226G, который разбит на два влана. Роутер включается в каждый из вланов отдельной сетевой (net1, net2) и уходит в инет через третью (net0). На Роутере стоит FreeBSD 7.0-RELEASE #0, фаервол - ipfw который нарезает пайпы. Все сетевые Intel Pro/1000 MT Desctop Adapter
В последнее время сеть начала работать неадекватно, а именно:
1. Сплошняком в логах вываливает, как получить более подробную информацию об этом?

Код: Выделить всё

# dmesg -a
ipfw: ouch!, skip past end of rules, denying packet
...

2. Иногда вываливает следующее, при том что у нас в сети нигде не используется 169.254.х.х (в сети используется статика)

Код: Выделить всё

# dmesg -a | grep local
arplookup 169.254.121.134 failed: host is not on local network
arplookup 169.254.121.134 failed: host is not on local network

3. С Длинка снимается статистика по snmp ежеминутно. Сниамется почему то с провалами, причем провалы по разным портам разные. На одних портах провалов почти нет, а на некоторох статистиа почти не снимается.
С чем это может быть связано?
4. по команде netstat -w1 -sahd -i net2, часто показывает по 100-200 дропнутых пакетов (проверял на всех интерфейсах, картина примерно таже). Нагрузка в этот момент порядка 22-25 тыс pps, пиковая загрузка 180Мбит/с. Что это за дропнутые пакеты? Какова причина дропа?
5. В эти моменты возрастают пинги и начинают теряться пакеты.

Подскажите, что это может быть (перегруз оборудования, флуд, вирусы и т.д), как это вывить ? Какие утилиты можно использовать?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Непрочитанное сообщение **zingel** » 2009-03-23 10:23:00

Код: Выделить всё

ifconfig -amv && dmesg -a; nestat -ib

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-03-23 12:24:04

Вот вывод этих команд (первые 3 цифры реального ип адреса сервера заменены на x.x.x)

Код: Выделить всё

# ifconfig -amv
net0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM>
        capabilities=1db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4>
        ether 00:07:e9:0a:cb:36
        inet x.x.x.134 0xffffff80 broadcast x.x.x.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        supported media:
                media autoselect
                media 1000baseTX
                media 1000baseTX mediaopt full-duplex
                media 100baseTX mediaopt full-duplex
                media 100baseTX
                media 10baseT/UTP mediaopt full-duplex
                media 10baseT/UTP
net1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM>
        capabilities=1db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4>
        ether 00:07:e9:0a:ca:78
        inet 172.17.62.1 netmask 0xffffff00 broadcast 172.17.62.255
        inet 172.17.76.1 netmask 0xffffff00 broadcast 172.17.76.255
        inet 172.17.77.1 netmask 0xffffff00 broadcast 172.17.77.255
        inet 172.17.78.1 netmask 0xffffff00 broadcast 172.17.78.255
        inet 172.17.117.1 netmask 0xffffff00 broadcast 172.17.117.255
        inet 172.17.118.1 netmask 0xffffff00 broadcast 172.17.118.255
        inet 172.17.119.1 netmask 0xffffff00 broadcast 172.17.119.255
        inet 172.17.120.1 netmask 0xffffff00 broadcast 172.17.120.255
        inet 172.17.121.1 netmask 0xffffff00 broadcast 172.17.121.255
        inet 172.17.122.1 netmask 0xffffff00 broadcast 172.17.122.255
        inet 172.17.123.1 netmask 0xffffff00 broadcast 172.17.123.255
        inet 172.17.127.1 netmask 0xffffff00 broadcast 172.17.127.255
        inet 172.17.128.1 netmask 0xffffff00 broadcast 172.17.128.255
        inet 172.17.129.1 netmask 0xffffff00 broadcast 172.17.129.255
        inet 172.17.130.1 netmask 0xffffff00 broadcast 172.17.130.255
        inet 172.17.131.1 netmask 0xffffff00 broadcast 172.17.131.255
        inet 172.17.132.1 netmask 0xffffff00 broadcast 172.17.132.255
        inet 172.17.133.1 netmask 0xffffff00 broadcast 172.17.133.255
        inet 172.17.134.1 netmask 0xffffff00 broadcast 172.17.134.255
        inet 172.17.135.1 netmask 0xffffff00 broadcast 172.17.135.255
        inet 172.17.136.1 netmask 0xffffff00 broadcast 172.17.136.255
        inet 172.17.137.1 netmask 0xffffff00 broadcast 172.17.137.255
        inet 172.17.138.1 netmask 0xffffff00 broadcast 172.17.138.255
        inet 172.17.139.1 netmask 0xffffff00 broadcast 172.17.139.255
        inet 172.17.140.1 netmask 0xffffff00 broadcast 172.17.140.255
        inet 172.17.141.1 netmask 0xffffff00 broadcast 172.17.141.255
        inet 172.17.142.1 netmask 0xffffff00 broadcast 172.17.142.255
        inet 172.17.143.1 netmask 0xffffff00 broadcast 172.17.143.255
        inet 172.17.144.1 netmask 0xffffff00 broadcast 172.17.144.255
        inet 172.17.145.1 netmask 0xffffff00 broadcast 172.17.145.255
        inet 172.17.146.1 netmask 0xffffff00 broadcast 172.17.146.255
        inet 172.17.147.1 netmask 0xffffff00 broadcast 172.17.147.255
        inet 172.17.148.1 netmask 0xffffff00 broadcast 172.17.148.255
        inet 172.17.149.1 netmask 0xffffff00 broadcast 172.17.149.255
        inet 172.17.150.1 netmask 0xffffff00 broadcast 172.17.150.255
        inet 172.17.151.1 netmask 0xffffff00 broadcast 172.17.151.255
        inet 172.17.152.1 netmask 0xffffff00 broadcast 172.17.152.255
        inet 172.17.153.1 netmask 0xffffff00 broadcast 172.17.153.255
        inet 172.17.154.1 netmask 0xffffff00 broadcast 172.17.154.255
        inet 172.17.155.1 netmask 0xffffff00 broadcast 172.17.155.255
        inet 172.17.158.1 netmask 0xffffff00 broadcast 172.17.158.255
        inet 172.17.161.1 netmask 0xffffff00 broadcast 172.17.161.255
        inet 172.17.166.1 netmask 0xffffff00 broadcast 172.17.166.255
        inet 172.17.171.1 netmask 0xffffff00 broadcast 172.17.171.255
        inet 172.17.184.1 netmask 0xffffff00 broadcast 172.17.184.255
        inet 172.17.185.1 netmask 0xffffff00 broadcast 172.17.185.255
        inet 172.17.187.1 netmask 0xffffff00 broadcast 172.17.187.255
        inet 172.17.188.1 netmask 0xffffff00 broadcast 172.17.188.255
        inet 172.17.189.1 netmask 0xffffff00 broadcast 172.17.189.255
        inet 172.17.190.1 netmask 0xffffff00 broadcast 172.17.190.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
        supported media:
                media autoselect
                media 1000baseTX
                media 1000baseTX mediaopt full-duplex
                media 100baseTX mediaopt full-duplex
                media 100baseTX
                media 10baseT/UTP mediaopt full-duplex
                media 10baseT/UTP
net2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM>
        capabilities=1db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4>
        ether 00:07:e9:0b:23:2d
        inet 172.17.63.1 netmask 0xffffff00 broadcast 172.17.63.255
        inet 172.17.64.1 netmask 0xffffff00 broadcast 172.17.64.255
        inet 172.17.2.1 netmask 0xffffff00 broadcast 172.17.2.255
        inet 172.17.79.1 netmask 0xffffff00 broadcast 172.17.79.255
        inet 172.17.80.1 netmask 0xffffff00 broadcast 172.17.80.255
        inet 172.17.81.1 netmask 0xffffff00 broadcast 172.17.81.255
        inet 172.17.82.1 netmask 0xffffff00 broadcast 172.17.82.255
        inet 172.17.83.1 netmask 0xffffff00 broadcast 172.17.83.255
        inet 172.17.84.1 netmask 0xffffff00 broadcast 172.17.84.255
        inet 172.17.85.1 netmask 0xffffff00 broadcast 172.17.85.255
        inet 172.17.86.1 netmask 0xffffff00 broadcast 172.17.86.255
        inet 172.17.87.1 netmask 0xffffff00 broadcast 172.17.87.255
        inet 172.17.88.1 netmask 0xffffff00 broadcast 172.17.88.255
        inet 172.17.89.1 netmask 0xffffff00 broadcast 172.17.89.255
        inet 172.17.90.1 netmask 0xffffff00 broadcast 172.17.90.255
        inet 172.17.91.1 netmask 0xffffff00 broadcast 172.17.91.255
        inet 172.17.92.1 netmask 0xffffff00 broadcast 172.17.92.255
        inet 172.17.93.1 netmask 0xffffff00 broadcast 172.17.93.255
        inet 172.17.94.1 netmask 0xffffff00 broadcast 172.17.94.255
        inet 172.17.95.1 netmask 0xffffff00 broadcast 172.17.95.255
        inet 172.17.96.1 netmask 0xffffff00 broadcast 172.17.96.255
        inet 172.17.97.1 netmask 0xffffff00 broadcast 172.17.97.255
        inet 172.17.98.1 netmask 0xffffff00 broadcast 172.17.98.255
        inet 172.17.99.1 netmask 0xffffff00 broadcast 172.17.99.255
        inet 172.17.100.1 netmask 0xffffff00 broadcast 172.17.100.255
        inet 172.17.101.1 netmask 0xffffff00 broadcast 172.17.101.255
        inet 172.17.102.1 netmask 0xffffff00 broadcast 172.17.102.255
        inet 172.17.103.1 netmask 0xffffff00 broadcast 172.17.103.255
        inet 172.17.104.1 netmask 0xffffff00 broadcast 172.17.104.255
        inet 172.17.105.1 netmask 0xffffff00 broadcast 172.17.105.255
        inet 172.17.106.1 netmask 0xffffff00 broadcast 172.17.106.255
        inet 172.17.107.1 netmask 0xffffff00 broadcast 172.17.107.255
        inet 172.17.108.1 netmask 0xffffff00 broadcast 172.17.108.255
        inet 172.17.109.1 netmask 0xffffff00 broadcast 172.17.109.255
        inet 172.17.110.1 netmask 0xffffff00 broadcast 172.17.110.255
        inet 172.17.111.1 netmask 0xffffff00 broadcast 172.17.111.255
        inet 172.17.112.1 netmask 0xffffff00 broadcast 172.17.112.255
        inet 172.17.113.1 netmask 0xffffff00 broadcast 172.17.113.255
        inet 172.17.114.1 netmask 0xffffff00 broadcast 172.17.114.255
        inet 172.17.115.1 netmask 0xffffff00 broadcast 172.17.115.255
        inet 172.17.116.1 netmask 0xffffff00 broadcast 172.17.116.255
        inet 172.17.124.1 netmask 0xffffff00 broadcast 172.17.124.255
        inet 172.17.157.1 netmask 0xffffff00 broadcast 172.17.157.255
        inet 172.17.183.1 netmask 0xffffff00 broadcast 172.17.183.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        supported media:
                media autoselect
                media 1000baseTX
                media 1000baseTX mediaopt full-duplex
                media 100baseTX mediaopt full-duplex
                media 100baseTX
                media 10baseT/UTP mediaopt full-duplex
                media 10baseT/UTP
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        groups: lo

Код: Выделить всё

# dmesg -a
ipfw: ouch!, skip past end of rules, denying packet
...

А вот сдесь уже интересней. Видно, что по интерфейсам валят ошибки

+ меня смущает 2-я строка. Откуда взялось x.x.x.12

Код: Выделить всё

a# netstat -ib
Name    Mtu Network       Address              Ipkts Ierrs     Ibytes    Opkts Oerrs     Obytes  Coll
net0   1500 <Link#1>      00:07:e9:0a:cb:36 611786494 8717975  655315757 1291350463     0 3836330589     0
net0   1500 x.x.x.12 asia              195811199     - 3212960486 216916565     - 1716408410     -
net1   1500 <Link#2>      00:07:e9:0a:ca:78 3482788849 16565 4225532681 128544194     0 3311805866     0
net1   1500 172.17.62.0   172.17.62.1        1270679     -  109679222   912915     -  155886719     -
net1   1500 172.17.76.0   172.17.76.1        1681903     -  144739629   910936     -  160578042     -
net1   1500 172.17.77.0   172.17.77.1         260913     -   31813980   184723     -   37107010     -
net1   1500 172.17.78.0   172.17.78.1        2712342     -  227407041  1524380     -  175647179     -
net1   1500 172.17.117.0  172.17.117.1         76509     -    6249667    58010     -    9809257     -
net1   1500 172.17.118.0  172.17.118.1        412972     -   38483456   272230     -   55012830     -
net1   1500 172.17.119.0  172.17.119.1        286169     -   24747531   597218     -   69657468     -
net1   1500 172.17.120.0  172.17.120.1       1629394     -  209236182  1124640     -  200577713     -
net1   1500 172.17.121.0  172.17.121.1          3629     -     208962        0     -          0     -
net1   1500 172.17.122.0  172.17.122.1         19629     -    1303405    14809     -    2646624     -
net1   1500 172.17.123.0  172.17.123.1          3494     -     201460        0     -          0     -
net1   1500 172.17.127.0  172.17.127.1        259459     -   21003577   190824     -   30851868     -
net1   1500 172.17.128.0  172.17.128.1       1168256     -  101228530   863654     -  144248197     -
net1   1500 172.17.129.0  172.17.129.1        284468     -   23389783   236079     -   37353020     -
net1   1500 172.17.130.0  172.17.130.1        342183     -   41265771   273520     -   55203023     -
net1   1500 172.17.131.0  172.17.131.1          4426     -     253704        0     -          0     -
net1   1500 172.17.132.0  172.17.132.1         57569     -    5451521    50948     -    8342324     -
net1   1500 172.17.133.0  172.17.133.1        728161     -   63105718   526221     -   90954760     -
net1   1500 172.17.134.0  172.17.134.1        878873     -   69503213   473044     -   79560216     -
net1   1500 172.17.135.0  172.17.135.1        739889     -   56728836  1107788     -  260583846     -
net1   1500 172.17.136.0  172.17.136.1       1369972     -  106960312  1283932     -  215035118     -
net1   1500 172.17.137.0  172.17.137.1        338928     -   33947971   205702     -   40832609     -
net1   1500 172.17.138.0  172.17.138.1         12649     -    1330772     7156     -    2702747     -
net1   1500 172.17.139.0  172.17.139.1         41492     -    3519670    26486     -    4570578     -
net1   1500 172.17.140.0  172.17.140.1       1795105     -  149317934  1026482     -  167666092     -
net1   1500 172.17.141.0  172.17.141.1        479292     -   50158496   303421     -   51130117     -
net1   1500 172.17.142.0  172.17.142.1        939193     -   88845573   540412     -  106056115     -
net1   1500 172.17.143.0  172.17.143.1        542987     -   65760637   353344     -   68169348     -
net1   1500 172.17.144.0  172.17.144.1        334129     -   25326411   226787     -   42268725     -
net1   1500 172.17.145.0  172.17.145.1        471657     -   54113021   215918     -   48168518     -
net1   1500 172.17.146.0  172.17.146.1        960235     -   72997009   543801     -   99918601     -
net1   1500 172.17.147.0  172.17.147.1        215864     -   15083512   170493     -   29002144     -
net1   1500 172.17.148.0  172.17.148.1          6722     -     383900        0     -          0     -
net1   1500 172.17.149.0  172.17.149.1          6663     -     379368        0     -          0     -
net1   1500 172.17.150.0  172.17.150.1          6460     -     368638        0     -          0     -
net1   1500 172.17.151.0  172.17.151.1        313725     -   30592334   186910     -   28913020     -
net1   1500 172.17.152.0  172.17.152.1        472172     -   43112996   198379     -   35084740     -
net1   1500 172.17.153.0  172.17.153.1          6324     -     359334        0     -          0     -
net1   1500 172.17.154.0  172.17.154.1          6144     -     348978        0     -          0     -
net1   1500 172.17.155.0  172.17.155.1        318663     -   23285083   203786     -   35850683     -
net1   1500 172.17.158.0  172.17.158.1        335379     -   30778663   220404     -   36319867     -
net1   1500 172.17.161.0  172.17.161.1        173814     -   27256504    18467     -   10844920     -
net1   1500 172.17.166.0  172.17.166.1         14596     -    1229040     5507     -     938746     -
net1   1500 172.17.171.0  172.17.171.1          5029     -     285402        0     -          0     -
net1   1500 172.17.184.0  172.17.184.1          4339     -     245882        0     -          0     -
net1   1500 172.17.185.0  172.17.185.1         99247     -    8601595    66060     -   12923965     -
net1   1500 172.17.187.0  172.17.187.1        196565     -   19089217   112454     -   19422249     -
net1   1500 172.17.188.0  172.17.188.1        296593     -   82069311   633936     -  109213730     -
net1   1500 172.17.189.0  172.17.189.1        153418     -   15862918    76042     -   14808722     -
net1   1500 172.17.190.0  172.17.190.1         30198     -    2076512     2222     -     418385     -
net2   1500 <Link#3>      00:07:e9:0b:23:2d 2577219703 92192 3842809740 392661342     2 2901456574     0
net2   1500 172.17.63.0   172.17.63.1        5259262     -  418167396  4481813     -  751637441     -
net2   1500 172.17.64.0   172.17.64.1         588435     -   45591956   440826     -   62990482     -
net2   1500 172.17.2.0    172.17.2.1         1093106     -   83717976   942722     -  171901351     -
net2   1500 172.17.79.0   172.17.79.1         840658     -   73390131   674523     -  111574651     -
net2   1500 172.17.80.0   172.17.80.1         452036     -   42829545   363197     -   64608321     -
net2   1500 172.17.81.0   172.17.81.1         254415     -   19246106   192171     -   34223376     -
net2   1500 172.17.82.0   172.17.82.1         796414     -   85137608   454042     -   98558647     -
net2   1500 172.17.83.0   172.17.83.1         263069     -   22996192   211354     -   37156171     -
net2   1500 172.17.84.0   172.17.84.1         520352     -   43725603   311874     -   54465665     -
net2   1500 172.17.85.0   172.17.85.1         209530     -   25788952   148643     -   31674806     -
net2   1500 172.17.86.0   172.17.86.1         698973     -   46819638   638268     -   94585526     -
net2   1500 172.17.87.0   172.17.87.1         500214     -   45039575   431494     -   80806637     -
net2   1500 172.17.88.0   172.17.88.1           4902     -     273532        0     -          0     -
net2   1500 172.17.89.0   172.17.89.1         238272     -   27687821   151603     -   34535140     -
net2   1500 172.17.90.0   172.17.90.1         413601     -   59417365   292699     -   79232495     -
net2   1500 172.17.91.0   172.17.91.1         892115     -   78091775   648980     -  112771143     -
net2   1500 172.17.92.0   172.17.92.1         576630     -   43976331   515110     -   86567281     -
net2   1500 172.17.93.0   172.17.93.1         713008     -   63091772   432136     -   72547062     -
net2   1500 172.17.94.0   172.17.94.1        1193751     -   99585907  1024876     -  178198837     -
net2   1500 172.17.95.0   172.17.95.1         568390     -   45757574   377150     -   60179240     -
net2   1500 172.17.96.0   172.17.96.1         860144     -   71189547   721258     -  124217220     -
net2   1500 172.17.97.0   172.17.97.1         812283     -   96414469   576252     -  129493861     -
net2   1500 172.17.98.0   172.17.98.1         762808     -   70861404   682647     -  150175412     -
net2   1500 172.17.99.0   172.17.99.1          76191     -   13843231    56554     -   19368924     -
net2   1500 172.17.100.0  172.17.100.1        431358     -   49615737   990253     -  224847922     -
net2   1500 172.17.101.0  172.17.101.1        583966     -   47244674   518092     -   92212989     -
net2   1500 172.17.102.0  172.17.102.1        614891     -   56453936   441774     -   81363164     -
net2   1500 172.17.103.0  172.17.103.1       1714156     -  140180618  1173857     -  196697839     -
net2   1500 172.17.104.0  172.17.104.1        711926     -   65351659   564120     -  112247066     -
net2   1500 172.17.105.0  172.17.105.1        401916     -   35447940   327530     -   58838646     -
net2   1500 172.17.106.0  172.17.106.1        545894     -   49491601   501292     -  101786207     -
net2   1500 172.17.107.0  172.17.107.1        104322     -   10534148    57129     -   10612426     -
net2   1500 172.17.108.0  172.17.108.1        531633     -   44865729   380085     -   70142781     -
net2   1500 172.17.109.0  172.17.109.1          6654     -     374044        0     -          0     -
net2   1500 172.17.110.0  172.17.110.1        706244     -   54984451   268883     -   44896883     -
net2   1500 172.17.111.0  172.17.111.1        109310     -   10654742    86324     -   14997517     -
net2   1500 172.17.112.0  172.17.112.1          6842     -     383978        0     -          0     -
net2   1500 172.17.113.0  172.17.113.1         48116     -    5855605    41578     -    7592067     -
net2   1500 172.17.114.0  172.17.114.1        367741     -   38081968   330183     -   77433996     -
net2   1500 172.17.115.0  172.17.115.1        407429     -   33004986   317944     -   54174846     -
net2   1500 172.17.116.0  172.17.116.1        376845     -   33506766   210178     -   38131003     -
net2   1500 172.17.124.0  172.17.124.1        177538     -   18413148   132203     -   24934497     -
net2   1500 172.17.157.0  172.17.157.1         14163     -     851093     7688     -    1626593     -
net2   1500 172.17.183.0  172.17.183.1         67152     -    6703364    11479     -    3032646     -
lo0   16384 <Link#4>                          318663     0   23973373   318665     0   23973425     0
lo0   16384 your-net      localhost           318661     -   23972807   318661     -   23972807     -

net0 - серверный сегмент, откуда может там взяться столько ошибок (8717975). Что это может быть , неисправнеость сетевой, неисправность серверного свича или еще что-то? Как выявить причину ошибок? что можно еще посмотреть?

Непрочитанное сообщение **zingel** » 2009-03-23 13:07:53

Код: Выделить всё

sysctl -w net.inet.ip.fw.one_pass=0

Код: Выделить всё

uname -a

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-03-23 15:07:15

У меня этот параметр стоит в 0

Код: Выделить всё

# sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 0

В следующей команде доменное имя заменено на xxxxx.xxx.xx

Код: Выделить всё

# uname -a
FreeBSD asia.xxxxx.xxx.xx 7.0-RELEASE FreeBSD 7.0-RELEASE #0: Fri Jun 13 12:38:39 EEST 2008     root@asia.xxxxx.xxx.xx:/usr/src/sys/i386/compile/ASIA  i386

qwe · Непрочитанное сообщение **qwe** » 2009-05-07 5:31:16

ipfw show
pfctl -sa

Покажите, пожалуйста.

Непрочитанное сообщение **zingel** » 2009-05-07 10:11:07

Схема подключения следующая - стоит Dlink DES-1226G, который разбит на два влана. Роутер включается в каждый из вланов отдельной сетевой (net1, net2) и уходит в инет через третью (net0)

привяжи маки к портам насильно

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-06-12 14:36:16

qwe писал(а):ipfw show
pfctl -sa

Покажите, пожалуйста.

Код: Выделить всё

00005         0            0 deny ip from table(90) to any
00010         0            0 allow icmp from 172.17.160.0/24 to table(100) not via net0 out icmptypes 8
00010         0            0 allow icmp from table(100) to 172.17.160.0/24 via net0 out icmptypes 0,3,11
00010         0            0 allow udp from me 53 to table(100) not via net0
00010         0            0 allow udp from table(100) to me dst-port 53 not via net0
00010         0            0 fwd 127.0.0.1,8081 tcp from table(100) to any dst-port 80
00010         0            0 allow tcp from any 80 to table(100) not via net0 out
00010         0            0 deny ip from table(100) to any
00020         0            0 allow icmp from 172.17.160.0/24 to 172.16.0.0/15 out icmptypes 8
00020         0            0 allow icmp from 172.16.0.0/15 to 172.17.160.0/24 out icmptypes 0,3,11
00020     12334      2304611 allow udp from me 53 to 172.16.0.0/15 not via net0
00020     12490       785763 allow udp from 172.16.0.0/15 to me dst-port 53 not via net0
00020      1976       125072 fwd 127.0.0.1,8081 tcp from not table(91) to not 172.16.0.0/15 dst-port 80 via net0
00020   4396012   6178339501 allow tcp from any 80 to 172.16.0.0/15 not via net0 out
00020       870       232814 deny ip from not table(91) to 172.16.0.0/15 not via net0 in
00031         0            0 deny ip from 172.16.10.30 to any dst-port 25
00070      1657       114131 deny ip from any to any dst-port 69,1434
00075      2349       112776 deny log ip from 172.16.0.0/15 to 172.16.0.0/15 dst-port 139,445
00080       476        24348 allow ip from any to any via lo0
00090      1207       468975 deny ip from any to any frag
00095   2564087    304115184 skipto 190 ip from 172.16.0.0/15 to table(101) in not via net0
00095   2299153    275561354 skipto 190 ip from 172.16.0.0/15 to table(101) out via net0
00100      4307       296727 deny ip from any to 10.0.0.0/8
00100       149         6032 deny ip from any to 192.168.0.0/16
00100        48         2445 deny ip from any to 0.0.0.0/8
00100       161        27481 deny ip from any to 169.254.0.0/16
00100         0            0 deny ip from any to 192.0.2.0/24
00100      7917       367873 deny ip from any to 224.0.0.0/4
00100       369        95322 deny ip from any to 240.0.0.0/4
00190         0            0 deny log ip from not table(99) to me dst-port 22 in setup
00200 376220163 305757053020 allow ip from any to any in
00250       364        87782 allow ip from me 22 to any out established
00300         0            0 allow ip from any to me
00300   1689181    182798917 allow ip from me to any
00340  24268449   5323089636 allow ip from 172.16.0.0/15 to table(102) out
00500        90        13668 pipe 500 ip from table(101) to table(51,60) out
00501       369        39822 pipe 501 ip from table(51,60) to table(101) out limit src-addr 20
00502       125        19458 allow ip from table(101) to table(51,60) out
00502       334        34032 allow ip from table(51,60) to table(101) out
00600     38027     23727434 pipe 600 ip from any to table(57,60) out
00601     35205      1689868 allow tcp from table(57,60) to any setup out
00601   2935252   2599572388 pipe 601 ip from table(57,60) to any out limit src-addr 20
00602   1816051   2457805440 allow ip from any to table(57,60) out
00602   1148106    155593410 allow ip from table(57,60) to any out
00700        20         3120 pipe 700 ip from table(101) to table(61,61) out
00701        10         1560 pipe 701 ip from table(61,61) to table(101) out limit src-addr 20
00702        20         3120 allow ip from table(101) to table(61,61) out
00702        10         1560 allow ip from table(61,61) to table(101) out
00800         1           84 pipe 800 ip from table(102) to table(62,61) out
00801         0            0 pipe 801 ip from table(62,61) to table(102) out limit src-addr 20
00802         1           84 allow ip from table(102) to table(62,61) out
00802         0            0 allow ip from table(62,61) to table(102) out
00900      8045       528585 pipe 900 ip from any to table(67,61) out
00901       671        32208 allow tcp from table(67,61) to any setup out
00901     25520     23162902 pipe 901 ip from table(67,61) to any out limit src-addr 20
00902     14208       889491 allow ip from any to table(67,61) out
00902     18848     22728942 allow ip from table(67,61) to any out
02019         6          822 pipe 2019 ip from table(101) to table(1,10) out
02020        24         2232 pipe 2020 ip from table(1,10) to table(101) out
02021         0            0 pipe 2021 ip from table(101) to table(1,11) out
02022         0            0 pipe 2022 ip from table(1,11) to table(101) out
02023        42        16765 pipe 2023 ip from table(101) to table(1,12) out
02024         0            0 pipe 2024 ip from table(1,12) to table(101) out
02025         0            0 pipe 2025 ip from table(101) to table(1,13) out
02026         0            0 pipe 2026 ip from table(1,13) to table(101) out
02041     85671     12464299 pipe 2041 ip from table(101) to table(1,21) out
02042    332465     20603561 pipe 2042 ip from table(1,21) to table(101) out
02049   1676608   1918411037 pipe 2049 ip from table(101) to table(1,25) out
02050   1084930    228937202 pipe 2050 ip from table(1,25) to table(101) out
02519         6          822 allow ip from table(101) to table(1,10) out
02520        24         2232 allow ip from table(1,10) to table(101) out
02521         0            0 allow ip from table(101) to table(1,11) out
02522         0            0 allow ip from table(1,11) to table(101) out
02523        42        16765 allow ip from table(101) to table(1,12) out
02524         0            0 allow ip from table(1,12) to table(101) out
02525         0            0 allow ip from table(101) to table(1,13) out
02526         0            0 allow ip from table(1,13) to table(101) out
02541     85671     12464299 allow ip from table(101) to table(1,21) out
02542    332458     20602547 allow ip from table(1,21) to table(101) out
02549   1615798   1914762337 allow ip from table(101) to table(1,25) out
02550    999547    217467855 allow ip from table(1,25) to table(101) out
03005       159        14352 pipe 3005 ip from table(102) to table(2,3) out
03006         0            0 pipe 3006 ip from table(2,3) to table(102) out
03013    379613     83801642 pipe 3013 ip from table(102) to table(2,7) out
03014         0            0 pipe 3014 ip from table(2,7) to table(102) out
03015      1329        92120 pipe 3015 ip from table(102) to table(2,8) out
03016         0            0 pipe 3016 ip from table(2,8) to table(102) out
03017   3300019   1680273566 pipe 3017 ip from table(102) to table(2,9) out
03018         0            0 pipe 3018 ip from table(2,9) to table(102) out
03031         0            0 pipe 3031 ip from table(102) to table(2,16) out
03032         0            0 pipe 3032 ip from table(2,16) to table(102) out
03037         0            0 pipe 3037 ip from table(102) to table(2,19) out
03038         0            0 pipe 3038 ip from table(2,19) to table(102) out
03119    572351    850541641 pipe 3119 ip from table(102) to table(2,60) out
03120         0            0 pipe 3120 ip from table(2,60) to table(102) out
03123       879      1040302 pipe 3123 ip from table(102) to table(2,62) out
03124         0            0 pipe 3124 ip from table(2,62) to table(102) out
03505       159        14352 allow ip from table(102) to table(2,3) out
03506         0            0 allow ip from table(2,3) to table(102) out
03513    379598     83782550 allow ip from table(102) to table(2,7) out
03514         0            0 allow ip from table(2,7) to table(102) out
03515      1329        92120 allow ip from table(102) to table(2,8) out
03516         0            0 allow ip from table(2,8) to table(102) out
03517   3299983   1680219566 allow ip from table(102) to table(2,9) out
03518         0            0 allow ip from table(2,9) to table(102) out
03531         0            0 allow ip from table(102) to table(2,16) out
03532         0            0 allow ip from table(2,16) to table(102) out
03537         0            0 allow ip from table(102) to table(2,19) out
03538         0            0 allow ip from table(2,19) to table(102) out
03619    566603    842051485 allow ip from table(102) to table(2,60) out
03620         0            0 allow ip from table(2,60) to table(102) out
03623       879      1040302 allow ip from table(102) to table(2,62) out
03624         0            0 allow ip from table(2,62) to table(102) out
65534     18320      3215713 deny ip from any to any
65535   4428070   3584370297 allow ip from any to any

В таблицах 1 и 2 ипы пользователей(Например 172.17.158.7/32 60), в зависимости от скорости ипа - разные значения второй цифры.
Таблицы 101 , 102 направления по которым осуществляется нарезка

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-06-12 14:39:15

zingel писал(а): привяжи маки к портам насильно

Неполучается, не везде стоят стоят умные свичи. В общем нет пока полноценной технической возможности реализовать это

Непрочитанное сообщение **zingel** » 2009-06-13 6:32:08

mac binding есть на любом свиче если он умный, если они глупые подними staticarp

Гость

Покажите загрузку по прерываниям.

Как вариант поиграться с полингом, причем лучше железным (intel должны поддерживать), или поставить пару сетевых и объеденить их в lagg, для разгрузки pps\прерываний.

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-06-15 17:59:27

При включеном Pooling - общее кол-во прерываний - порядка 8000
При выключенном - 17000-21000
Поток от 2 до 15 Мбайт/с

HEDG_SS · Непрочитанное сообщение **HEDG_SS** » 2009-06-16 12:01:40

Не выдержал, полез в исходники..
/usr/src/sys/netinet/ip_fw2.c

Код: Выделить всё

........... 
case O_PROBE_STATE:
case O_CHECK_STATE:
/*
 * dynamic rules are checked at the first
* keep-state or check-state occurrence,
 * with the result being stored in dyn_dir.
 * The compiler introduces a PROBE_STATE
 * instruction for us when we have a
 * KEEP_STATE (because PROBE_STATE needs
 * to be run first).
 */
if (dyn_dir == MATCH_UNKNOWN &&
(q = lookup_dyn_rule(&args->f_id,
&dyn_dir, proto == IPPROTO_TCP ?
TCP(ulp) : NULL))
!= NULL) {
/*
*Found dynamic entry, update stats
* and jump to the 'action' part of
* the parent rule.
*/
q->pcnt++;
q->bcnt += pktlen;
f = q->rule;
cmd = ACTION_PTR(f);
l = f->cmd_len - f->act_ofs;
IPFW_DYN_UNLOCK();
goto check_body;
}

/*
 * Dynamic entry not found. If CHECK_STATE,
 * skip to next rule, if PROBE_STATE just
 * ignore and continue with next opcode.
 */
if (cmd->opcode == O_CHECK_STATE)
goto next_rule;
match = 1;
break;

.......

next_rule:;             /* try next rule                */

        }               /* end of outer for, scan rules */
        printf("ipfw: ouch!, skip past end of rules, denying packet\n");
        IPFW_RUNLOCK(chain);
        return (IP_FW_DENY);
.........

Кто знаком нормально с С++ подскажите, как это правильно интерпретировать

forum.lissyara.su

Непонятные дропы пакетов и загруз сети

Непонятные дропы пакетов и загруз сети

Услуги хостинговой компании Host-Food.ru

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети

Re: Непонятные дропы пакетов и загруз сети